Onthoud Magecart?
In november vorig jaar, security onderzoekers ontdekten dat het de beruchte malware, bekend voor het oogsten van credit card gegevens van formulieren in, [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]opnieuw kon infecteren, zelfs na clean-up.
Nu, Magecart is weer actief in beruchte campagnes waarin 277 e-commerce websites werden besmet in supply-chain-aanvallen. Wat betekent dit?
New Magecart campagnes gedetecteerd
Beveiliging onderzoekers van RiskIQ en Trend Micro kwam in een nieuwe subgroep bekend als Magecart Group 12 die infecteert gerichte websites door het invoegen van skimming code in een third-party JavaScript-bibliotheek. Deze techniek laadt de kwaadaardige code in alle websites die de bibliotheek gebruiken.
Verder onderzoek naar deze activiteiten is gebleken dat de skimming code niet direct werd geïnjecteerd in e-commerce websites, maar aan een derde partij JavaScript-bibliotheek door Adverline houdt zich bezig, een Franse online advertising bedrijf, wat we onmiddellijk contact opgenomen. ADVERLINE heeft het voorval heeft verwerkt en geeft de noodzakelijke saneringen in relatie uitgevoerd met de CERT Post, zei Trend Micro onderzoekers in hun verslag.
RiskIQ onderzoekers hebben ook nauw toezicht op de Magecart groep. Blijkbaar, Groep 12 creëerde zijn infrastructuur in september vorig jaar, domeinen ingeschreven, SSL-certificaten werden opgezet door middel LetsEncrypt, en de skimming backend is geïnstalleerd. De hackers ook gebruik maken van een klein fragment met een base64 URL van de middelen, dat wordt gedecodeerd runtime en geïnjecteerd in de pagina, RiskIQ De bevindingen van het rapport.
De groep erin geslaagd om gerichte websites te compromitteren door middel Adverline houdt zich bezig aan het einde van 2018.
Opgemerkt dient te worden dat Magecart Group 12's skimming code is iets anders, met “een interessante wending”- het beschermt zichzelf tegen deobfuscation en analyse door het uitvoeren van een integriteitscontrole op zichzelf.
Als voor de eigenlijke injectie script, het komt in twee fasen, beide ontworpen om een self-integriteit controle uit te voeren. Hier is hoe de twee fasen plaatsvinden, als toegelicht door RiskIQ:
– De gehele eerste fase wordt uitgevoerd als een functie, die globaal gedefinieerd (dit is belangrijk)
– De tweede trap wordt gecodeerd en opgevuld met troepgegevens, die wordt geschreven naar een nieuw object div
– Deze tweede fase data vervolgens unpadded, gedecodeerd, en uiteindelijk geëxecuteerd
– De uitgevoerde code grijpt een verwijzing naar zichzelf (die werd wereldwijd ingesteld) en wordt gezet door middel van een hash-functie die de JavaScript-implementatie van Java's hashCode.
– Als de controle valideert de volgende fase wordt uitgevoerd.
Gelukkig, ADVERLINE heeft al het probleem opgelost door het verwijderen van de kwaadaardige code uit de getroffen JavaScript-bibliotheek.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: